Ближайшее время тут появится ряд полезных материалов и трюков по безопасности AWS, а может и ещё чего

Оставайтесь на связи)

Думаю в первую очередь стоит поделиться презентацией с Zeronights Web Village 2019 о AWS секьюрити. Особено рекомендую заглянуть в конец презентации в секцию ссылок на полезные материалы, чуть позже некоторые из них будут разобраны подробнее.

Как и обещал, начинаем разбирать различные полезные материалы. В первую очередь хочется порекомендовать отличное (на мой взгляд) выступление https://www.youtube.com/watch?v=vV7xN2JQNOU , спикер разбирает базовые принципы AWS и даже проводит некую параллель между AWS и AD, после чего переходит к рассказу о инструментах и разных техниках. Чем-то схоже с тем что расказывал я на WV, но у этого спикера есть запись выступления в хорошем качестве) Так что это отличный способ начать приобщаться к AWS Security, если вы упустили моё выступление на Zeronights WV 2019.

Тем временем Amazon анонсировал крайне любопытную новость. Ребята планируют выкатить вторую версию метадата API (IMDSv2). Занятно, что в отличии от других облачных решений амазон предлагает не просто добавлять статичный заголовок, а целую схему с получением динамического токена с помощью метода PUT и внедрением его в каждый последующий запрос через заголовки. Это серьёзно усложнит жизнь злоумышленникам пытающимся эксплуатировать SSRF до метадата API. Фишка с блокировкой запросов содержащих X-Forwarded-For заголовок, кстати, тоже на месте, это не позволит эксплуатировать излишне широко сконфигурированные прокси. Но и это ещё не всё, теперь ответы от метадате API содержащие токен будут снабжаться TTL равным 1, что не позволит получать их через обходные пути типа NAT или VPN туннелей, впрочем, я пока не до конца понимаю как это будет работать. Такое вообще есть у кого из конкурентов?
Одна беда, старая версию метадата API (IMDSv1) всё ещё на месте и будет доступна по умолчанию ещё долгое время (а что вы хотели, обратную совместимость для клиентов надо же обеспечивать), так что багхантерам пока не стоит хвататься за сердце, все старые трюки продолжают работать на IMDSv1. Подробнее про новую версию API: https://aws.amazon.com/ru/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/

Тут недавно появился новый интересный инструмент для визуализации и анализа прав и связей внутри вашей AWS инфраструктуры. Инструмент сделан ребятами подарившими миру dref, drozer, needle и ещё пару стоящих инструментов. (Вы могли слышать о них как о MWR labs, но теперь они в крепких руках F-secure и зовут себя F-secure labs 😄)

Для работы как обычно нужны политики SecurityAudit + ReadOnlyAccess.

Сам инcтрумент: https://github.com/fsecurelabs/awspx
Пост о нём в блоге: https://labs.f-secure.com/blog/awspx/

P.S. А ещё у них крутое лого с воронами